引言
ISO/IEC 20000-1:2018 第6章(策划)和第7章(支持)是服务管理体系(SMS)有效运行的基础保障。第6章聚焦于”做正确的事”——如何应对风险与机遇、如何策划服务管理体系;第7章聚焦于”有能力把事做对”——资源、能力、意识、沟通和成文信息是否到位。本章将从第三方审核员视角,系统解析这两章的审核思路与取证方法。
一、第6章 策划
6.1 应对风险和机遇的措施
20000-1:2018明确要求组织必须识别与服务管理体系相关的风险和机遇,并策划应对措施。这里的”风险”不仅指技术风险,还包括服务中断风险、供应商依赖风险、合规风险等。
审核员核心提问:
– “请介绍一下你们的服务风险识别过程,最近一次识别到了哪些风险?”
– “针对识别出的高风险,策划了哪些应对措施?有没有验证过这些措施的有效性?”
– “服务风险清单上次更新是什么时候?有新的风险加入吗?”
有效证据:
| 证据类型 | 具体内容 |
| — | — |
| 服务风险清单 | 包含风险描述、影响程度、发生概率、应对措施、责任人 |
| 风险应对记录 | 措施实施记录、效果验证记录 |
| 管理评审输入 | 风险辨识结果是否作为管理评审输入 |
⚠️ 常见不符合项
组织只识别了”系统宕机”这类技术风险,但忽略了”关键供应商无法履约”这一供应链风险。20000-1要求的风险识别是全范围的,不仅限于IT技术层面。
6.2 服务管理目标及其实现
组织必须在相关职能和层级上建立服务管理目标,且目标必须是可测量的。这是第6章的另一个核心要求。
审核检查点:
| 检查项 | 判断标准 |
| — | — |
| 目标是否分解到部门/岗位? | 不能只在管理层有目标,执行层无感知 |
| 目标是否可测量? | “提升服务质量”❌ “事件首次解决率≥85%”✅ |
| 目标是否定期评审? | 管理评审时应评审目标达成情况 |
| 目标未达成是否有改进行动? | 不能只记录”未达标”,必须有改进行动 |
6.3 策划服务管理体系
本条款要求组织策划服务管理体系的变更,确保变更是受控的。当服务范围、组织结构或服务交付模式发生变化时,SMS必须同步调整。
二、第7章 支持
7.1 资源
20000-1对资源的要求比9001更加具体——必须确保服务交付所需的基础设施、工具和知识到位。审核员在现场应关注:
审核提问示例:
– “请展示一下你们的IT服务管理工具(如ITSM平台),它覆盖了哪些流程?”
– “服务交付依赖的基础设施(机房、网络、云资源)由谁管理?有什么监控手段?”
– “如果核心工具故障,有没有备用方案?”
典型不符合: 组织购买了ITSM工具但绝大多数功能未启用,服务请求仍通过邮件处理——工具资源配置与实际运行方式不匹配。
7.2 能力
能力条款要求组织确定从事影响服务绩效的人员所需的能力,并确保这些人员具备相应能力。
审核取证方法:
1. 要求提供关键岗位(服务交付经理、事件经理、变更经理)的岗位说明书和技能要求
2. 抽查3-5名关键岗位人员的培训记录、资质证书
3. 访谈这些人员,验证其是否真正理解自己的职责和工作流程
| 岗位 | 必备能力要求 | 审核验证方法 |
|---|---|---|
| 服务交付经理 | 服务设计、SLA管理、客户关系 | 访谈:如何平衡客户需求和内部资源约束? |
| 事件经理 | 事件分类、优先级判定、升级机制 | 抽查:最近一次P1事件的处理记录 |
| 变更经理 | 变更风险评估、回退计划审核 | 抽查:紧急变更是否有事后审查和记录 |
7.3 意识
人员必须意识到服务方针、服务目标、他们对SMS有效性的贡献。这个条款在ITSMS审核中经常被忽略。
快速验证方法: 随机找2-3名一线支持人员,问:”你们组织的服务管理方针是什么?””你们团队今年的服务目标是什么?”——如果答不上来,就是不符合。
7.4 沟通
20000-1特别强调了”服务沟通”——包括与客户的沟通、与用户的沟通、与供应商的沟通。审核员应检查:
- 是否有正式的沟通计划(什么信息、发给谁、频率、渠道)?
- 服务变更是否提前通知了受影响客户?
- 重大事件是否按约定时限通知了客户?
典型案例: 某云服务商的存储升级导致服务中断30分钟,但客户是通过自己的监控系统发现异常的——服务商未提前通知。这是7.4沟通条款的典型不符合。
7.5 成文信息
20000-1要求的成文信息(文件化信息)包括:服务管理体系范围、服务管理方针和目标、本标准要求的成文信息、组织确定的为确保服务管理体系有效性所需的成文信息。
审核员注意: 20000-1:2018不强制要求编制《质量手册》或《程序文件》,组织可以采用任何形式的成文信息。审核时应关注内容是否满足标准要求,而非形式是否符合某套文件体系。
三、第6-7章联合审核技巧
第6章(策划)和第7章(支持)在实际审核中可以高效联合进行:
策划路径示例:
1. 从管理评审记录入手 → 看风险识别是否作为输入(6.1)
2. 从服务目标清单入手 → 看目标是否分解、可测量(6.2)
3. 从关键岗位人员名单入手 → 验证能力证明(7.2)、意识(7.3)
4. 从ITSM工具演示入手 → 验证资源配置(7.1)、沟通记录(7.4)
这种”顺藤摸瓜”的审核方式,比逐条查阅文件更高效,也更容易发现系统性问题。
从审核员的持续成长角度来看,每完成一次审核都应当进行自我复盘:这次审核中哪些环节做得好?哪些问题问得不够深入?哪条证据收集得不充分?将复盘结果记录下来,形成自己的审核案例库。久而久之,你会形成一套独特的审核方法论和判断直觉。审核是一项实践性极强的工作,理论知识只是基础,真正的成长来自每一次现场审核的积累。无论是质量管理还是信息安全领域的审核员,坚持学习和实践永远是提升专业能力的不二法门。希望本文的分享能够对正在学习和从事审核工作的同行有所帮助。在实际工作中遇到疑难问题时,不妨回到标准原文,对照本文梳理的要点逐一排查。